ssh funktioniert nicht

[HermannPrechtl]

Hallo,

ich habe eine Frage zur Funktion von SSH:

Möchte mich folgendermaßen auf einen anderen Rechner einloggen wo ssh installiert ist und bekomme folgende Fehlermeldung:

advantech@headnode:~$ ssh root@172.21.35.121
Permission denied (publickey,gssapi-with-mic).

Wie läuft das ab mit diesem Key? Ich nehme an, dass ein Public Key eine Zeichensequence ist, die sowohl vom Client als auch vom Remote-PC übereinstimmen muss. Ist das so richtig?

Vielen Dank.
Hermann

[thoys]

Hi,

da dir keiner der "richtigen Checker" (also bisher noch nicht) antwortet mach ich das mal:

Also natürlich brauchst du den Benutzernamen und das Passwort von deinem Rechner auf dem du dich einloggen willst.

Dann (so gehe ich immer vor) löschst du erstmal die Datei known_hosts in /home/NAME/.ssh/ mit rm -rf

Danach schaust du ob ssh (so heisst auch das Paket (server und client in einem)) bei dir installiert ist. Dann logst du dich wieder mit ssh benutzername@adresse z. B. ssh thoys@10.1.1.2 ein. Er stellt dann die Frage ob er es wirklich tun soll, da musst du wirklich das wort "yes" eingeben.

Viel Erfolg

Thoys

[Danielx]

Ich nehme an, dass ein Public Key eine Zeichensequence ist, die sowohl vom Client als auch vom Remote-PC übereinstimmen muss. Ist das so richtig?

Nein, es wird ein öffentlicher Schlüssel auf dem Server und ein privater Schlüssel auf dem Client eingesetzt, siehe dazu:
http://de.wikipedia.org/wiki/Asymmetris ... yptosystem

Also natürlich brauchst du den Benutzernamen und das Passwort von deinem Rechner auf dem du dich einloggen willst.

Als Passwort würde ich das eher nicht bezeichnen.

Gruß,
Daniel

[HermannPrechtl]

@ Hallo Thoys,

danke für deine Ausführungen.

Also ich habe mir nun erlaubt die Datei known_hosts (unter /var/lib/nxserver/home/.ssh/known_hosts) erstmal nur umzubenennen auf knwon_hosts_old. Darauf hin den ssh neu gestartet mit service sshd restart, dann kommt folgende Meldung am Server:

Stopping sshd: [OK]
Starting sshd: [OK]

Anschließend gehe ich zum Client und tippe:

ssh root@172.21.35.124

Es kommt die selbe Meldung wieder:

headnode:/home/advantech# ssh root@172.21.35.124
Permission denied (publickey,gssapi-with-mic).

In der Zwischenzeit habe ich einen weiteren User hinzugefügt und versucht auf diesen zuzugreifen --> dasselbe Ergebnis.

Was mach ich bloß falsch? Hat das vielleicht etwas mit dem NXServer zu tun, den ich dort auch brauche, weil das im Verzeichnispfad mit drin ist?

Danke dir.

@Hallo Danielx,

danke für diesen Link in wiki, ich weiß nun Bescheid wie das funktioniert, danke nochmal, leider weiß ich aber immer noch nicht wo bei mir das Problem liegt. Eine Netzwerkverbindung habe ich auf jeden Fall, da ich darauf pingen kann. Würd mich freun, wenn dir dazu noch etwas einfällt... Bringt es vielleicht etwas wenn man ssh nochmal deinstalliert? Wenn ja, wie macht man das? Auch SSH in die andere Richtung funktioniert, also vom Server zum Client.

Danke euch vielmals.

Gruß Hermann

[Danielx]

leider weiß ich aber immer noch nicht wo bei mir das Problem liegt.

Ähm, du hast auf deinem Server "publickey" eingestellt, aber keinen privaten Schlüssel auf deinem Server hinterlegt und auf deinem Client keinen passenden privaten Schlüssel?
Irgendwie verstehe ich nicht, was du da machst...
Willst du denn jetzt die Authentifizierung über Public-Key oder über Passwort laufen lassen?

edit: Achso, hängt also damit zusammen:
viewtopic.php?f=32&t=116784

Gruß,
Daniel

[shoening]

Hi,

die Fehlermeldung lautet:

Permission denied (publickey,gssapi-with-mic).

Das bedeutet, das auf dem Server eingestellt ist, das man sich nur ueber publickey oder gssapi-with-mic anmelden kann.
Ein Anmelden mittels Passwort ist nicht erlaubt.

Du must dir mittels ssh-genkey ein Schluesselpaar erzeugen und dann den oeffentlichen Schluessel (z.B. id_rsa.pub) in die Datei
$HOME/.ssh/authorized_keys anhaengen - als text versteht sich.

Wenn man paranoid ist, sollte man auch die Remote Anmeldung als root ganz unterbinden.

Ciao
Stefan

[HermannPrechtl]

leider weiß ich aber immer noch nicht wo bei mir das Problem liegt.

Ähm, du hast auf deinem Server "publickey" eingestellt, aber keinen privaten Schlüssel auf deinem Server hinterlegt und auf deinem Client keinen passenden privaten Schlüssel?
Irgendwie verstehe ich nicht, was du da machst...
Willst du denn jetzt die Authentifizierung über Public-Key oder über Passwort laufen lassen?

edit: Achso, hängt also damit zusammen:
viewtopic.php?f=32&t=116784

Gruß,
Daniel

Hallo Daniel, ja richtig, das hängt mit diesem NXServer-case bei diesem Thread zusammen. Ob das nun über PublicKey oder Passwort läuft spielt bei mir keine Rolle, ich habe nur die Standardeinstellung so übernommen und ursprünglich nichts verändert. Auch das mit dem "keygen" hab ich schon mal ausprobiert, letztendlich kommt die selbe Fehlermeldung. Ich schreib das nochmal weiter unten. Danke.

[HermannPrechtl]

Hi,

die Fehlermeldung lautet:

Permission denied (publickey,gssapi-with-mic).

Das bedeutet, das auf dem Server eingestellt ist, das man sich nur ueber publickey oder gssapi-with-mic anmelden kann.
Ein Anmelden mittels Passwort ist nicht erlaubt.

Du must dir mittels ssh-genkey ein Schluesselpaar erzeugen und dann den oeffentlichen Schluessel (z.B. id_rsa.pub) in die Datei
$HOME/.ssh/authorized_keys anhaengen - als text versteht sich.

Wenn man paranoid ist, sollte man auch die Remote Anmeldung als root ganz unterbinden.

Ciao
Stefan

Hallo Stefan,

danke für deine Tipps. Den Root würd ich gerne noch behalten, da es zunächst nur ein Testsystem ist. Ich haben nun folgendes am Cllient ausgeführt, die Fehlermeldung ist aber die Selbige:

headnode:/home/advantech# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
/root/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
ca:84:c9:0f:22:69:b0:63:13:8e:76:91:45:d6:25:21 root@headnode
The key's randomart image is:
+--[ RSA 2048]----+
| .E.oo. |
| + ... |
|.. o |
|+o...o |
|**..= . S |
|+oo. = . |
| + |
| |
| |
+-----------------+
headnode:/home/advantech#


Soll ich das file abändern auf authorized_keys oder wie von mir soeben vorgenommen auf Standard lassen? Die Passphrase bin ich übergangen, hoffe das passt so.

Danke euch.
Gruß Hermann

[daniel74]

Soll ich das file abändern auf authorized_keys oder wie von mir soeben vorgenommen auf Standard lassen? Die Passphrase bin ich übergangen, hoffe das passt so.

Code: Alles auswählen

cat .ssh/id_dsa.pub >> .ssh/authorized_keys

oder

Code: Alles auswählen

cat .ssh/id_rsa.pub >> .ssh/authorized_keys

In der Datei werden alle Keys abgelegt,die auf das System zugreifen können. Passen auch die Berechtigungen auf das File?

Code: Alles auswählen

chmod 700 .ssh
chmod 600 .ssh/authorized_keys

[HermannPrechtl]

Hallo Daniel,

soll ich cat auf dem Client oder der Servermaschine ausführen?

Auf dem Server gibt es nur ein authorized_keys2 auf /var/lib/nxserver/home/.ssh/authorized_keys2

Auf dem Client hab ich hier die authorized_keys:

headnode:/home/advantech# locate authorized_keys
/etc/authorized_keys2
/home/advantech/authorized_keys2
/root/authorized_keys2
/root/.ssh/authorized_keys

Ich habe nun folgendes auf dem Client gemacht:

In das Rootverzeichnis gewechselt, denn dort ist auch das .ssh darunter. Anschließend so ausgeführt wie von dir aufgeführt:

headnode:~# cat .ssh/id_rsa.pub >> .ssh/authorized_keys2
headnode:~# cat .ssh/id_dsa.pub >> .ssh/authorized_keys2
cat: .ssh/id_dsa.pub: No such file or directory
headnode:~# chmod 700 .ssh
headnode:~# chmod 600 .ssh/authorized_keys2
headnode:~# ssh root@172.21.35.124
Permission denied (publickey,gssapi-with-mic).

Später sah ich dann, dass ich noch root mit hinzufügen muss, dann kann auch auf authorized_keys zugreifen:

headnode:~# cat .ssh/id_rsa.pub >> /root/.ssh/authorized_keys
headnode:~# cat .ssh/id_dsa.pub >> /root/.ssh/authorized_keys
cat: .ssh/id_dsa.pub: No such file or directory
headnode:~# chmod 600 .ssh/authorized_keys
headnode:~# chmod 700 .ssh
headnode:~# ssh root@172.21.35.124
Permission denied (publickey,gssapi-with-mic).


Leider komme ich immer noch nicht auf den Server...

Danke dir
Hermann

[daniel74]

Hallo Hermann,

soll ich cat auf dem Client oder der Servermaschine ausführen?

die Datei id_dsa.pub enthält den öffentlichen Schlüssel der Maschine. Wenn du dich mit diesem Schlüssel auf einem anderen System anmelden möchtest, dann musst du diesen Schlüssel zur Datei "authorized_keys" auf dem anderen System hinzufügen.

Auf dem Server gibt es nur ein authorized_keys2 auf /var/lib/nxserver/home/.ssh/authorized_keys2

Wie die Dateien heissen ist eigentlich egal,solange der Name in der Konfiguration angegeben ist. Schau' mal auf den betreffenden Systemen in die Datei /etc/ssh/sshd.conf. Dort findest du

Code: Alles auswählen

AuthorizedKeysFile %h/.ssh/authorized_keys

Du solltest auf allen System den gleichen Dateinamen verwenden.

Leider komme ich immer noch nicht auf den Server...

Das bekommt man auch noch hin - sicherlich hat da noch jemand eine Lösung dafür...

[HermannPrechtl]

Hallo Daniel,

ja richtig, in der Datei /etc/ssh/sshd_config steht auskommentiert:

#AuthorizedKeysFile /var/lib/nxserver/home/.ssh/authorized_keys

Soll ich das nun abändern von authorized_keys auf authorized_keys2 und aktivieren indem ich die Raute löschen?

Wenn ich das dann vom Client zum Server rüberkopieren soll muss ich da nicht mehr angeben als dieses

headnode:~# cat .ssh/id_rsa.pub >> .ssh/authorized_keys2

wie gibt man da das Ziel richtig an? Reicht das so? Muss nicht die IP oder Hostname mit untergebracht werden?

Danke dir.
Gruß Hermann

[daniel74]

#AuthorizedKeysFile /var/lib/nxserver/home/.ssh/authorized_keys

Soll ich das nun abändern von authorized_keys auf authorized_keys2 und aktivieren indem ich die Raute löschen?

ich verwende immer (Standard):

Code: Alles auswählen

AuthorizedKeysFile %h/.ssh/authorized_keys

%h wird durch den Benutzernamen ersetzt,sprich: wenn du dich mit user@host anmelden möchtest, dann sucht der SSH-Server im Homeverzeichnis des Benutzers "user" das Verzeichnis ".ssh", in welchem sich die Liste der erlaubten SSH-Keys befindet. Das Verzeichnis ist dann also beispielsweise "/home/user/.ssh/".

Du kannst die Zeile (mit der Raute) mal so stehen lassen und darunter eine neue Zeile einfügen...

Wenn ich das dann vom Client zum Server rüberkopieren soll muss ich da nicht mehr angeben als dieses

headnode:~# cat .ssh/id_rsa.pub >> .ssh/authorized_keys2

wie gibt man da das Ziel richtig an? Reicht das so? Muss nicht die IP oder Hostname mit untergebracht werden?

Normalerweise erstellt du auf deinem System die Keys (mit ssh-keygen). Den Public-Key (.pub) kopierst du dann auf das andere System und fügst diesen mit "cat .... >> authorized_keys" zu den erlaubten Schlüsseln hinzu.

Im Wiki gibt's eine kurze Anleitung:
http://wiki.debianforum.de/SSH_mit_Key

Natürlich funktioniert dies nur, wenn der Remote SSH Zugang funktioniert - sonst musst du den Public Key auf eine andere Weise auf das entfernte System bekommen. Zum kopieren kannst du auch "scp" verwenden....

[HermannPrechtl]

Danke Daniel für die Hinweise und auch denk Link, der ist interessant wirft aber bei mir auch die Frage auf ob das mit dem PublicKey überhaupt erforderlich ist? Kann ich mich nicht einfach mit dem Passwort des Servers einloggen? Denn später soll ja NXServer darauf laufen und mein Client bringt mir die Fehlermeldung
NX> 203 NXSSH running with pid: 4316
NX> 285 Enabling check on switch command
NX> 285 Enabling skip of SSH config files
NX> 285 Setting the preferred NX options
NX> 200 Connected to address: 172.21.35.124 on port: 22
NX> 202 Authenticating user: nx
NX> 208 Using auth method: publickey
NX> 204 Authentication failed.

NX benutzt also wahrscheinlich gar keinen PublicKey?.

Die sshd_config auf dem Server habe ich nun abgeändert genauso wie von dir beschrieben.

Also ich erstelle nun den Key auf der Serverseite mit:

ssh-keygen -t rsa

anschließend kopiere ich diesen auf den Client, der Rechner, der dazu dient den Server remote zu bedienen mit:

cat .ssh/id_rsa.pub >> .ssh/authorized_keys

Passt das so?

Dann ändere ich die Rechte nun auf den Server oder dem Client?

Danke

[daniel74]

Danke Daniel für die Hinweise und auch denk Link, der ist interessant wirft aber bei mir auch die Frage auf ob das mit dem PublicKey überhaupt erforderlich ist? Kann ich mich nicht einfach mit dem Passwort des Servers einloggen?

Mit Public-Key Authentifizierung kannst du die Sicherheit in jedem Fall erhöhen,da ohne diesen Schlüssel kein Zugriff auf das System möglich ist. Selbst wenn jemand das Passwort wissen sollte kann er ohne den Schlüssel nichts damit anfangen (solange die normale Passwort-Anmeldung deaktiviert ist).

Denn später soll ja NXServer darauf laufen und mein Client bringt mir die Fehlermeldung
NX> 203 NXSSH running with pid: 4316
NX> 285 Enabling check on switch command
NX> 285 Enabling skip of SSH config files
NX> 285 Setting the preferred NX options
NX> 200 Connected to address: 172.21.35.124 on port: 22
NX> 202 Authenticating user: nx
NX> 208 Using auth method: publickey
NX> 204 Authentication failed.

NX benutzt also wahrscheinlich gar keinen PublicKey?.

Hmm, hier gibt's noch eine Info:
http://debianforum.de/forum/viewtopic.php?f=30&t=106836

Also ich erstelle nun den Key auf der Serverseite mit:

ssh-keygen -t rsa

anschließend kopiere ich diesen auf den Client, der Rechner, der dazu dient den Server remote zu bedienen mit:

cat .ssh/id_rsa.pub >> .ssh/authorized_keys

Passt das so?

Dann ändere ich die Rechte nun auf den Server oder dem Client?

Danke

Ja,soweit passt das. Die Rechte musst du auf beiden Rechner anpassen,da kein anderer Benutzer auf die Dateien zugreifen soll.

[HermannPrechtl]

Hallo Daniel,

danke dir nochmal. Der Link ist auch interessant, leider führt er nicht zum Ende, nun weiß man nicht ob der Ratschlag funktioniert hat.

Nochmal zu SSH nur mit Passwort. Wie mache ich das denn. Ist das auch möglich ohne diesen PubKey?
Denn ich möchte mich auch über einen Windowsrechner mittels Putty einloggen können.

Danke dir.

Gruß Hermann

[daniel74]

Hallo Hermann,

ob Public Key, Passwort etc. wird in /etc/ssh/sshd.conf konfiguriert. Die wichtigesten Parameter sind:

Code: Alles auswählen

AuthorizedKeysFile %h/.ssh/authorized_keys (wird benötigt für Public-Key)
PubkeyAuthentication yes (wichtig, da ansonsten die Public-Key Authentifizierung nicht funktioniert, no wenn nur Passwort verwendet wird)
PasswordAuthentication no (wenn nur ie Public-Key Authentifizierung benutzt werden soll)

Wenn du PasswordAuthentication auf "yes" setzt wird wieder das Passwort des Users benutzt,so wie auch bei der lokalen Anmeldung an der Konsole. Theoretisch geht auch beides - Public Key und Passwort.

Wen ndu dich mit Putty unter Windows verbinden möchtest, musst man bei der Passwort-Authentifizierung weiter auf nichts besonderes achten. Beim Public-Key Verfahren muss der Schlüssel (soviel ich noch weiss) in das Putty-Format (.ppk) konvertiert werden. Das geht mit dem Tool "puttygen" eigentlich problemlos.

Hat die normale Authentifizerung nur mit Passwort schonmal funktioniert?

Grüße,
Daniel

[HermannPrechtl]

Hallo Daniel,

okay, wenn beides, PublicKey und Passwort, funktionieren sollte stell ich das so ein. Denn bei der NX-Anmeldung der meckert immert, dass eine PubKey Auth verlangt wurde.

Ja, ssh funktioinierte schon mal, aber seit ich die Sachen von NX installiert habe geht dbzgl. gar nichts mehr. Vielleicht macht es auch Sinn ssh mal völlig zu deinstallieren? Eigentlich möchte ich ja nur mit einem grapikfähigen Remote-PC auf diese Maschine zugreifen, aber man kommt jetzt von einem Problem zum anderen...

Aber ich stelle das mal nun so ein wie von dir vorgeschlagen.

Danke nochmal.

Gruß Hermann

[HermannPrechtl]

Daniel, ich verzweifle noch. Sehe keinen Erfolg.

Auf Serverseite CentOS habe ich nun folgendes ausgeführt:

Als erstes in der /etc/ssh/sshd_config hier ein Auszug:

#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6

#RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile /var/lib/nxserver/home/.ssh/authorized_keys
AuthorizedKeysFile %h/.ssh/authorized_keys

Dann Folgendes:

[root@headnode1 ~]# service sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]
[root@headnode1 ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
/root/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
a3:d3:42:65:e9:fb:64:ea:42:81:f5:47:97:82:e9:18 root@headnode1
[root@headnode1 ~]# cat .ssh/id_rsa.pub >> .ssh/authorized_keys
[root@headnode1 ~]#


Dann auf der Client-Seite mit Debian:

/etc/init.d/ssh restart
Restarting OpenBSD Secure Shell server: sshd.
ssh root@172.21.35.124
Permission denied (publickey,gssapi-with-mic)

Ich denke wir müssen das erstmal mit der Passwortauthentifiezierung hinbekommen, der Wurm liegt irgendwo anders. Mit chmod habe ich nichts gemacht, da die Sicherheit momentan nicht wichtig ist.

Wäre dir sehr verbunden, wenn ich du noch eine Idee hättest. Danke dir.

[HermannPrechtl]

Auf Server Seite habe ich nun ssh deinstalliert mit:

yum remove openssh

und dann wieder installiert mit

yum install openssh

Nun geht gar nichts mehr, ssh ist unbekannt obwohl mehrere Ordner da sind.

Danke
Hermann

[daniel74]

Nun geht gar nichts mehr, ssh ist unbekannt obwohl mehrere Ordner da sind.

Die Installation lief aber problemlos durch? Hast du zuvor auch zur Sicherheit das Verzeichnis /etc/ssh umbenannt? Manchmal werden bereits existierende Dateien/Verzeichnisse nicht überschrieben.

Wenn die Installation ordnungsgemäß abgeschlossen worden ist, kannst du SSH starten?

Code: Alles auswählen

service sshd start

Fehlermeldung im Log?

Hast du in der sshd_config die Option

Code: Alles auswählen

PasswordAuthentication yes

gesetzt?

Hast du in der sshd.conf noch eine Option mit dem Namen

Code: Alles auswählen

StrictModes yes

Ändere dann die Option nach "no",starte SSH neu und schau' mal, ob die Meldung mit "Permission denied" immer noch erscheint.

Siehe auch:
http://openssh.com/de/faq.html
Punkt 3.14

[HermannPrechtl]

Hallo Daniel,

nein, ich habe keine Sicherungen gemacht.

Da wo ich gerade ssh neu installiert habe, am Server, zeigt sich folgendes:


[root@headnode1 ~]# service sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]


[root@headnode1 ~]# ssh root@172.21.35.110
-bash: ssh: command not found




Aber dafür kann ich mich von Clientseite endlich einloggen!
Auch über Putty passt es nun.

Aber was könnte denn jetzt an Serverseite nicht passen? Folgendes ist installiert:

[root@headnode1 ~]# rpm -qa \*ssh\*
openssh-4.3p2-36.el5_4.3
openssh-server-4.3p2-36.el5_4.3


Danke.

[HermannPrechtl]

Die SSH-Verbindungen funktionieren jetzt in beide Richtungen.

Habe opensh-clients nachinstalliert.

Der Thread kann nun hier als beendet betrachtet werden. Vielen Dank an alle und vor allem an Daniel!

Br
Hermann

[Danielx]

Die SSH-Verbindungen funktionieren jetzt in beide Richtungen.

Offensichtlich aber nur mit Passwort und nicht mit Public-Key.

Dann Folgendes:
(...)
[root@headnode1 ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
(...)

Hast du den privaten Schlüssel danach auf den Client kopiert bzw. verschoben?
Sonst wird das nichts...

Public-Key brauchst du ja für dein NX-Problem.

Gruß,
Daniel

[HermannPrechtl]

Hallo Daniel,

ja richtig NX läuft noch nicht. Ich habe nun meinen Standort gewechselt und nur eine CentOS-Kiste und mein Windowsnotebook zur Verfügung.

Dass NX zwischen den CentOS-Rechnern läuft kann ich erst wieder ab Sonntagabend probieren, dort werde ich dann deine Tipps noch in die Tat umsetzen können.

Nun müsste ich aber wissen wie man den generierten Schlüssel auf Server- bzw. CentOS-Seite auf die Windowskiste kriegt? Hast du da schon mal Erfahrungen gemacht?

Danke.

Gruß Hermann